Mikrotik-Web Proxy ile URL Filtreleme

Mikrotik cihazlarımızın üzerinde URL, kelime,uzantı vb. kelimeleri engelleyebiliriz. Buna neden ihtiyaç duyma nedeniz ise ofis yada ev ağınızdan birden fazla bilgisayara sahip iseniz girilmesini istemediğiniz siteler yada indirilmesini istemediğiniz uzantıları engelleyebiliriz ve bu şekilde ağınızı kontrol edebiliriz. Unutulmadan Yeni çıkan 5651 Yasası gereği toplu intenet kullanımı sağlayan firmaların tüm kullanıcıların erişimlerini kaydetmesi yasal olarak zorunludur. 4 Mayıs 2007 tarihinde kabul edilen yasa ve parallinde yayınlanan bu yönetmelikler ile kurum ve kuruluşlarİç IP adres dağıtım loglarının toplanması (DHCP Logları) Kullanıcıların web erişim olaylarının toplanması kullanıcıların web erişimlerinde içerik bazlı filtre uygulanması (URL Filtering) Oluşan verilerin bütünlük değerlerinin (hash) zaman damgası ile saklanması ve gizliliğinin temin edilmesi yükümlülüklerini yerine getirmek zorundadır. Log kayıtlarınında tutmak isterseniz bu konu hakkında ilerde sunmak istediğim makalemde okuyabilirsiniz.

NOT: Eğer orta ve büyük ağınız varsa Web Proxy uygulaması için seçilen donanımlara dikkat edilmesi gerekir, dikkat etmediğinizde ağınızda aşırı yavaşlama ve tıkanmalar meydana gelecektir. Tavsiye edebileceğim PC/X86 bir kasa kullanarak webproxy kullanmanızdır.

Şimdi konumuza geri dönemlim isterseniz Winbox üzerinden grafik arayüzünü kullanarak yada yine aynı şekilde winbox üzerinden New terminal üzerinden komutlarımızı yazarakta bu işlemleri gerçekleştirebiliriz. Benim anlamatmak istediğim ise Terminal üzerinden işlemlerimizi gerçekleştireceğiz.

Winbox açtıktan sonra gerekli bilgilerinizi girdik ve bağlandıktan sonra sol menude bulunan “New Terminal” tıkladıktan sonra terminal penceresi açılacaktır. Tüm komutlarımızı bu pencere gerçekleştireceğiz. NOT: Bu işlemleri Telnet yada SSH üzerinde de gerçekleştirebilirisiniz.

ilk komudumuzda Web Proxy aktif hale getirelim.

/ip proxy set enabled=yes always-from-cache=no cache-administrator=Webmaster cache-hit-dscp=4 cache-on-disk=no max-cache-size=none max-client-connections=600 max-fresh-time=3d max-server-connections=600 parent-proxy=0.0.0.0 parent-proxy-port=0 port=8080 serialize-connections=no src-address=0.0.0.0

Yukarıda vermiş olduğum komutu terminal ekranına yazınız, yazma sırasında Örnek:/ip pr dediğimizde otomatik olarak geri kalan satırı yazacaktır ve bu işlemle komutları daha hızlı yazma işlemleri gerçekleştirebilirsiniz. Bu işlemleri yaptıktan sonra son satırıda yazdıktan sonra Enter tuşuna bastığımızda otomatik olarak işlem gerçekleşmiş olacaktır. Bu işlemlerinin doğruluğunu görmek için aşağıdaki komutları girebilirsiniz.

/ip proxy print

Yukarıda komudu girdikten sonra terminalde aşağıdaki şekilde karşınıza görünecektir.

[admin@xxxx] >> /ip proxy print
enabled: yes
src-address: 0.0.0.0
port: 8080
parent-proxy: 0.0.0.0
parent-proxy-port: 0
cache-administrator: Webmaster
max-cache-size: none
cache-on-disk: no
max-client-connections: 600
max-server-connections: 600
max-fresh-time: 3d
serialize-connections: no
always-from-cache: no
cache-hit-dscp: 4
cache-drive: system
[admin@xxxx] >>

Bu işlemlerden sonra Firewall üzerinden Web Proxy için NAT ekleyelim. bu işlem için aşağıdaki komutları terminal ekranına yazınız.

/ip firewall nat add action=redirect chain=dstnat disabled=no dst-port=80 protocol=tcp to-ports=8080

Yukarıdaki komutları girdikten sonra yaptığımız işlemin gerçekleştiğini kontrol etmek için

/ip firewall nat print

Yukarı komudu girdikten sonra satırın eklendiğini görebilirsiniz.

bu işlemlerden sonra engellemek istediğiniz URL,uzantı yada kelimeyi Web Proxy ekliyelim. Bu işlem için sizler için örnek vereceğim.

/ip proxy access add action=deny disabled=yes path=:sex/ip proxy access add action=deny disabled=yes dst-host=*gtunnel.com*

Yukarıdaki komutları yazarakta engelmek istediğiniz kelimeleri :sex yada gtunnel.com yazılarını değiştirerek ekliyebilirisiniz.

Web-Proxy eğer log tutmak isterseniz disk üzerine yada memory yada uzaktaki bilgisayar kayıt altında tutabilirsiniz. Bu işlemleri gerçekleştirebilmek için aşağıdaki komutları terminal ekranına yazınız.

/system logging add action=disk topics=web-proxy

bu işlem yaptıktan sonra eğer disk üzerine kayıt etmek istiyorsanız unutmayın yüksek kapasitede eğer bir hardisk kullanırsanız 1 yada 2 yıllık kayıtlarınızı tutabilirsiniz.

Son olarak Web Proxy üzerinde engellemiş kelimeleri giriş yaptığımızda karşımıza Mikrotik Web Proxy için hata HTML dosyası bulunmaktadır bu hata ekranı kendinize uygun olarak düzenleyebilirsiniz. Bu HTML dosyasını Winbox üzerinde sol tarafta bulunan menu üzerinden Files Bölümünden Web Proxy klasörü altında error.html dosyasıdır. Bu HTML dosyasını bilgisayarınız üzerinde HTML bilginiz var ise kendinize uygun olarak düzenleyebilirsiniz

MİKROTİK LOG KAYITLARINI ALMA

Mikrotik üzerinde syslog kayıtlarını cihaz üzerine yada uzaktaki bir bilgisayara kayıt altına alabilirsiniz.

İlk olarak winbox üzerinden cihazımızın logları nereye tutacağımızı ve hangi verilerin kayıt edilmesini seçelim. Winbox üzerinden kullanıcı bilgiler ile giriş yaptıktan sonra System>Logging menusu altından gerekli işlemleri yapalım. Actions bölümü altında yapılan kayıtların hangi bölümlere kayıt altına alınacağını ayarlıyoruz. Rules bölümü altında ise hangi bilgileri nereye kayıt altına alınacağını ayarlıyoruz.

Uzaktanki bilgisayarımıza kayıt altına alamak istiyorsanız Rules bölümü altında kayıt altına alacağımız yeri Remote olarak seçiyoruz ve Actions bölümü altından ise hangi IP adresine kayıt altına almak istiyorsanız o bilgisayarın IP adresini ve cihazımızın portu seçiyoruz.

Bu işlemlerden sonra Uzaktaki bilgisayarımıza hangi program ile kayıt altına alacağımızı yazalım.

Not: Cihaz üzerine disk yada memory üzerine kayıt altına tuttuğunuz logları winbox üzerinden LOG menüsü altından bakabilirsiniz.

The Dude ek yazılımı bile kayıtlarımızı bilgisayara kayıt altına alabiliriz.

Alternatif olarak ise Kiwi Syslog Server, TurboG WebProxy Logger, WallWatcher, Webproxy log v.b. yazılımları kullanarakta cihazınızın syslog kayıtlarına altına tutabilirsiniz.

MİKROTİK PPP0E CLİENT YAPMAK

Yapıcaklarımız ise sırasıyla ;
ADSL Modemimiz uzerindeki DHCP Server’ı , NAT ‘ı ve Firewall ‘u kapatacağız.
ADSL Modemimizdeki ADSL Bağlantı mode unu BRIDGE MODE a alacağız.
Mikrotik üzerinde Local Interface e IP vereceğiz.
ADSL bağlantısı için PPPoE Client tanımlayacağız.
NAT tanımı yapıp paylaşımı başlatacağız.

ADSL Modeminiz üzerindeki DHCP Server , NAT ve Firewall ın nasıl kapatılacağını burada resimli olarak gösteremiyorum , çünkü tüm modemler birbirinden farklı. Siz kendi modeminiz içerisindeki bu ayarları rahatlıkla bulacaksınızdır.

Ben adsl bağlantısını yaparken use peer dns seçeneğini aktif hale getirdiğim için telekomdan atanan dnsler burada otomatik olarak geldi farklı dnslerden internete çıkmak isterseniz bu kısmı elle doldurabilirsiniz.

DHCP kuracağımız local bacağımızı seçtikten sonra Next diyoruz

İlk olarak interface menusüne girip + butonuna basıp PPPoE client ekliyoruz.

isim olarak size ayırt edici birşeyler yazabilirsiniz.
kırmızı olarak görünen Interface kısmından da adsl hattımızı hangi bacaktan giriş yaptıysak onu seçmemiz gerekmektedir.
Gelelim adsl kullanıcı adı ve parolamızı yazmaya

User kısmına adsl kullanıcı adımızı Password e şifremizi yazmalıyız. Modem ayarlamalarımızı doğru yaptıysak bir dakikalık bir süreç içerisinde sağ altta görünen Status kısmında connected ibaresini görmemiz gereklidir.
Bu kısımda extra olarak bilinmesi gereken konu ise Add Default Route seçeneği internet girişimizin yani asıl wan bağlantımızın bu hat olduğunu seçmeye yarar load balance yapılacaksa bu seçeneği seçmemekte fayda vardır. Use Peer DNS ise sistemimiz içerisinde bir dns server bulundurmuyorsak yada elle yazdığımız dnsler yok ise bu seçeneği işaretlememiz gereklidir.
Gelelim local ağımıza ip atamaya ve dhcp kurulumuna;
Ip sekmesinden addresses’ i tıklıyoruz local olarak yaptığımız çıkış hangi bacaksa onun seçimini yapıp dağıtmak istediğimiz ip grubunu yazıyoruz. Örnek olarak kendi kullandığım ip blogunu sundum sizlere

Bu aşamayı da başarıyla gerçekleştirmişsek sıra geldi dhcp yapılandırmasına;
Yine IP menusunden DHCP Server seçeneğini seçip DHCP sekmesinden dhcp setup’ı tıklıyoruz.

DHCP kuracağımız local bacağımızı seçtikten sonra Next diyoruz

Burada DHCP Serverımızın ağımız içerisine atayacağı ipleri bloğunu seçiyoruz.

Burada varsayılan ağ geçidimizi belirtiyoruz.

Bu kısımda ise bize tekrarlanacak bi DHCP server varsa onun ip blogunu girmemiz isteniyor ki biz DHCP relay kullanmadığımız için burayı direk next diyerek atlıyoruz.

Bu aşamada dağıtılacak ip bloğunu göstermektedir next diyerek bir sonraki aşamaya geçiyoruz.

Ben adsl bağlantısını yaparken use peer dns seçeneğini aktif hale getirdiğim için telekomdan atanan dnsler burada otomatik olarak geldi farklı dnslerden internete çıkmak isterseniz bu kısmı elle doldurabilirsiniz.

Burada atanacak iplerin kira sürelerini belirtmektedir. ben default olarak 3gün atanmasına izin verip next diyerek sonlandırıyorum.

Şekildeki uyarıyı aldıysak yapılandırmamızı başarıyla tamamlamış bulunmaktayız.
Gelelim firewalldan gerekli nat yapılandırmasına;
Yine IP menusunden firewall a giriyoruz oradan nat sekmesine geçip gelen ve giden bağlantımız için masquerade yapıyoruz.

Bu şekilde geçerli local bacağımızı seçip Action sekmesine geçerek

Bu işlemi tamamladıysak local ağımız içerisinde ki bilgisayarların ağ çıkışını tamalıyoruz. Tabi unutmadan yaptığımız PPoE client bağlantısı içinde bir maskeleme yapmamız gerekmektedir onu da yaparak ağımız içerisinde ki bilgisayarları internete çıkışlarını sağlıyoruz.

Bu aşamadan sonra yine maskeleme yapıyoruz

Firewall üzerinde yaptığımız değişiklikleri tamamlamışsak ok butonuna basıp kaydediyoruz ve işlemi başarıyla tamamlıyoruz.
Şua ağımız içerisinde ki bilgisayarlar PPoE bağlantısını mikrotik üzerinden sağlayarak internete başarıyla erişebileceklerdir

MİKROTİK VPN BAĞLANTI

Mikrotik i sisteminize bağladığınızı ve iç network ü nat layarak dışarı çıkardığınızı varsayıyorum. Genel mikrotik kullanımda modeminizden mikrotik i DMZ e ekleyebilir veya daha önce yazmış olduğum yazıdan yola çıkarak mikrotik i direk servis sağlıyıcınıza bağlayabilirsiniz.
Gelelim kuruluma ;
Winbox üzerinden sol tarafta ppp menüsü altına girin ve pptp menüsünü açın. Resimde gördüğünüz gibi öncelikle pptp serverı seçip, servisini aktif etmeniz gerekmektedir.

Yukarıda ki işlem tamamlandıktan sonra Mikrotik vpn server için yeni bir interface tanımlamamız gerekmektedir. Winbox üzerinden + tuşuna basarak “PPTP SERVER” seçeneğini seçin.

Bu işlemden sonra artık mikrotik vpn server aktif halde ve bağlantı bekliyor olacaktır *
Şimdi yapmamız gereken işlem bağlanacak kullanıcıları hazırlamak.
Secret tabını kullanarak bağlanacak kullanıcıları ekleyebiliriz. Yine kırmızı + tuşuna bastığımızda aşağıdaki gibi bir resim gelecektir.

Resimde görüldüğü gibi kullanıcı adı ve şifre girip ip adreslerini atayabilirsiniz. Kullanıcı seçeneklerinde vpn ile bağlanan kullanıcılara hız limiti uygulayabilirsiniz şimdilik buna değinmiycem belki limitlerle ilgili bir yazıda bu konuyada detaylı bir şekilde değinebiliriz.
Burada dikkat etmeniz gereken önemli bir nokta var oda ip adresleri. Eğer NAT kuralında nat lanacak ip adreslerini belirtmediyseniz buraya istediğiniz network den ip adresi girebilirsiniz ( local ve remote aynı network de olmak şartıyla tabi ki ) eğer nat kuralınızda iç networku belirttiyseniz, ya vpn client lara iç network den ip ataması yapmanız veya farklı bir network u daha nat kuralına eklmeniz ki benim tavsiyem bu şekilde olması yani iç network ip bloğu ile vpn ip bloğu farklı olsun ilerde karıştırmazsınız.
Bu adımdan sonra windows üzerinden windows vpn client ile mikrotik vpn server a bağlanabilirsiniz.
PPTP Tabında bulunan ” Active Connections ” kısmından Mikrotik VPN Server a bağlı olan client listesini görebilir ve bağlantıyı sonlandırabilirsiniz.

MİKROTİK DE SİTE TO SİTE VPN BAĞLANTI YAPMA

Bir önceki yazımda vpn server kurulumunu incelemiştik. Şimdi ise iki ayrı networkümüzü routerlar aracılığıyla birbirine bağlamayı gösterelim

İki ayrı networkumuz ve farklı ip gruplarımız var bunları bir tunnel bağlantıyla birbirine bağlayalım.

PPTP serverda ki MERKEZ ip adresimiz:
Local:172.16.22.0/24
Wan:22.22.22.22 olsun

Bağlanacak client ip adresimiz ise:
Local:192.168.11.0/24
Wan:11.11.11.11 olsun
İlk olarak bir önceki makalemizde de belirttiğimiz şekliyle PPTP serverımızı kurulumunu yapıyoruz.

Ardından seçtiğimiz kullanıcı ismini local ve remote olan ip adreslerini şekildeki gibi belirtiyoruz. Burada yazılan ip grubunu sanal bir grup gibi düşünebiliriz ben local adres olarak 192.168.40.1 ve remote adres olarakta 192.168.40.101 belirttim.

Şimdi gelelim clients yapılandırmasına

Connect to kısmına pptp serverımızın ip adresini yazıyoruz. Secrets tabında oluşturduğumuz kullanıcı adını ve parolamızı yazıyoruz. Ve profil olarak pptp serverımızda seçmiş olduğumuz default yada default-encryption dan hangisi ise onun seçimini yapıp sağ alt köşede görünen connected yazısının ekrana gelmesini sağlıyoruz. Bu aşamada herhangi bir sıkıntı yaşanmamışsa bağlantı başarıyla sağlanmalıdır. (Not: 2resimdeki profiller ayrı olduğu için birisinde default seçiliyken diğerinde default-encryption seçili bunu dikkate almayınız.)
Şimdide gelelim iki ağı birbirine tanımlamaya site to site olayını oturtup tek bir ağ içerisindeymiş gibi bir sistem kurmamız için gerekli olan yapılandırma kısmını IP menusunden routes sekmesine geçerek elde edicez.

Eklediğimiz client taki ip route configurasyonunu bu şekilde tamamladıktan sonra sıra geldi merkez yapılandırmamıza

Bu yapılandırmayıda başarıyla yaptıktan sonra iki farklı noktadaki networklerimiz birbirine sorunsuz birbağlantı sağlayacaklar ve iki ip grubumuzda local ağlarda tanımlı olacaktır.

MİKROTİK DHCP DEN ATANAN İP ADRESİ SABİTLEMEK

Bir önceki makalemde DHCP Server kurulumuna kadar olan kısmı anlatmıştım. Şimdi ise Dhcp den atanacak ip yi sabitlemeyi anlatacağım.

Yine öncelikle IP menusunden DHCP yi seçiyoruz. Leases sekmesine geçerek atamak istediğimiz ip adresini seçiyoruz.

Buradan atanacak olan ipmiz üzerine çift tıklayarak sabitlenecek ip adresimizi seçip açılacak menünün gelmesini sağlıyacağız.

Make Static butonunu tıklayarak sabitleme işlemini gerçekleştiriyoruz. Sabitlediğimiz ip adresine yeniden tıklayarak Mac adresini baz alarak sabitleme işlemini tamamlıyoruz

Resimdeki seçeneklerden Use Src. MAC Address seçeneğini işaretleyerek aktif hale getiriyoruz ve 200.200.200.149 ip adresini seçtiğimiz MAC adresine sabitlemeyi tamamlıyoruz. Ok butonunu seçip yapılandırmamızı kaydederek sonlandırıyoruz. Ve işlemi başarıyla gerçekleştirmiş bulunmaktayız.

MİKROTİK HOTSPOT KURULUMU

Mikrotikte Hotspot kurulumu
Daha önceki makalelerimde sizlere mikrotik üzerinden PPoE bağlantısı sağlamayı, DHCP Server yapılandırılmasını ve ip sabitlemeyi anlatmıştım. Şimdi ise Mikrotik üzerinde hotspot kurulumu yaparak halka açık alanlarda da bu uygulamayı kullanmayı anlatacağım. Hotspot nedir öncelikle tanıyalım istiyorum.

Hotspot nedir?
İngilizce bir sözcük olan ‘Hot-spot’, kablosuz hızlı internet bağlantısının yapılabildiği belirli bir coğrafi alana veya bölgeye verilen bir terimdir. Hot-spot’lar havaalanı, kafe, restaurant vb. kapalı alanlar veya kampüs alanlarında kullanılabilir. Hotspot sistemlerine şifresiz olarak bağlanabilirsiniz internette gezinmek istediğinizde size kullanıcı adı ve şifre soran bir sayfaya yönlendirecektir bu şekilde hizmet sağlayıcdan temin ederek kullanabilirsiniz.
Bu uygulamadaki amacımız?
Bulunduğunuz bölgede kablosuz internet sağlayabilirsiniz bu hizmetten yararlanmak isteyen kullanıcılara ücretli, ücretsiz, süreli, süresiz, kotalı, kotasız şekilde internet hizmeti sağlayabilirsiniz. Aşağıdaki adımları takip edip kendi sisteminize uyarlayarak bu hizmeti sağlamaya başlayabilirsiniz.

Öncelikle hotspot kuracağımız lan bacağına bir ip atayarak başlıyoruz

Buradan hotspot sistemimizde kullanacağımız ip blogunu belirleyip, kurulacak hotspotun çıkışını Interface aracılığıyla seçerek kuruluma başlıyoruz. Adresimizi ve de Interface seçimimizi yaptıktan sonra IP menusunden Hotspot seçeneğini tıklıyoruz

Hotspot setup seçeneğini seçerek kuruluma başlıyoruz

Adres eklediğimiz local Interface imizi seçerek next diyoruz

Bu aşamada bizim hotspot yapacağımız ip bloğunu seçmemiz ve otomatik olarak firewalldan maskeleme yapacağını gösteren bir ibare çıkıyor karşımıza bu kısmı next diyerek kurulumu devam ettiriyoruz

Burada DHCP Server’ımızı dağıtacağı ip aralığı seçimi görünmektedir bu kısmıda next diyerek bir sonraki aşamaya geçiyoruz.

Bu aşamada Hotspot’umuzda kullanılacak sertifka seçimi sormaktadır. Ben herhangi bi sertifka yüklemeyeceğimden dolayı next diyerek bu aşamayıda atlıyoruz

Bu kısımda ise sistemimizde mail server kullanıyorsak onun ip si girilmelidir

Burada hotspotta kullanılmak üzere girilmesi gereken dnsler çıkmaktadır. PPPoe Client kullandığımdan dolayı burada dns yazmadan otomatik olarak dnslerim çıkmış bulunuyor.

Bu aşamada bize kullandığımız dnsler için gerçek bir karşılığı olan ismini girmemizi sağlıyor. Bu kısmı doldurduğumuz takdirde hotspot kullanıcılarımız herhangi bir sayfa açtıkları zaman sisteme giriş için adres çubuğunda hotspot server ipmizi görmezler burada girmiş olduğumuz ismi göreceklerdir.

Bu uyarıyı almış isek kurulumu başarıyla tamamladık demektir. Şimdi yapmamız gereken birkaç server yapılandırması daha var.
Server Profiles sekmesini seçerek orada yapılması gereken ayarları tamamlıyoruz.

Bu kısımda herhangi bir ayarlama yapmıyorum. Seçmemiz gereken kısım ise HTML Directory burada seçtiğimiz klasör içerisinde barındırılan html dosyalar bizim hotspot giriş sayfamızın yerini belirtmektedir. Login kısmına geçerek kurulumu devam ettiriyorum.

Gereken seçimleri bu şekilde yaparak ilerliyorum.
Not: ücretsiz kullanım sunmadığım için tiral seçeneğini kaldırıyorum. Ve hotspot kullanıcı isimlerini Mac adres bazlı yada cookie tutularak girişlerin otomatik olmasını engellemek içinde Cookie ve MAC seçeneklerini deaktif hale getirdim.

Sistemim içerisinde radius server kullandığım için Use RADIUS seçeneği aktif hale getirdim. Ancak siz usermanager kullanıcaksanız harici bir Radius manager kullanmıyacaksanız bu kısmı hiç ayarlama yapmanıza gerek kalmıyacaktır.
Bu aşamaları tamamladıktan sonra hotspot kurulumunuda tamamlamış bulunmaktayız.